1) 先搞清楚:TRON 多签管的是什么

TRON 账户有 3 类权限:

  • Owner Permission(owner):最高权限,可改权限、改 owner、恢复等(最危险也最重要)。

  • Active Permission(active):日常资金操作(转账 TRX、调用合约比如 USDT 转账)一般用它。

  • Witness Permission(witness):出块相关,普通人不用。

你要做 USDT-TRC20 多签,关键是把“调用合约(triggerSmartContract)”的权限放到一个 Active Permission 里,然后设置:

  • 多个签名地址(参与人)

  • 每个地址 weight

  • 总阈值 threshold(达到才生效)

2) 准备阶段(强烈建议)

A. 参与签名的地址与密钥

  • 至少准备 2~3 个签名地址(比如 A/B/C)

  • 确保每个地址私钥各自独立保管(别都在同一台机器/同一个人手上)

B. 目标“资金地址”

  • 一个 TRON 地址作为“资金/收款/出款账户”(比如 M)

  • 多签是配置在这个资金地址 M 上,不是配置在 A/B/C 上

C. 账户资源(很重要)

TRON 调用合约转 USDT 需要能量/带宽:

  • 带宽:普通转账/广播需要

  • 能量:调用 USDT 合约需要(不足会烧 TRX)
    建议给资金地址 M:

  • 适当冻结 TRX 获取能量(或你自己的能量租用系统)

  • 留一定 TRX 作为手续费兜底

3) 创建多签权限(把资金地址 M 改成多签)

核心目标

  • Owner:建议也多签(更安全),阈值更高

  • Active:用于日常转 USDT(合约调用),阈值可稍低

权限设计示例(推荐)

假设 3 人 A/B/C:

  • Active:threshold=2;A=1,B=1,C=1(2/3 多签)

  • Owner:threshold=2 或 3(更稳),避免单点改权限被盗

操作方式(常见两种)

方式 1:用 TronLink + Tronscan 页面直接设置

  1. 用 TronLink 登录资金地址 M

  2. 打开 Tronscan(账户页面)

  3. 找到 Permissions / 权限管理 / 多重签名(名称可能略有差异)

  4. 编辑 Owner / Active:添加 A/B/C 地址、weight、threshold

  5. 提交修改交易

  6. 如果你把 Owner 也改成多签:从这一刻开始,修改权限也要多签确认

注意:第一次改权限那笔交易,需要当前 owner 权限签名(一般就是资金地址 M 的原始私钥)。改完后就按新规则走。

方式 2:用 tronweb / tronpy 构造 AccountPermissionUpdate(程序化)

适合做自动化、后台系统。流程是:构造权限更新交易 → 发起人签名(或多签)→ 广播。

4) 多签转 USDT-TRC20 的操作流程(重点)

TRC20 转账是调用 USDT 合约transfer(to, amount)

步骤总览

  1. 发起人构造转账交易(triggerSmartContract)

  2. 交易进入“待签名”状态(包含 raw_data)

  3. 签名人 A/B/C 分别用自己的私钥签名(离线也行)

  4. 收集到的签名数量/权重 ≥ threshold

  5. 广播交易 → 链上执行成功,USDT 转出

你在工具里会看到的差异

  • 单签:一个签名就能 broadcast

  • 多签:broadcast 前必须叠加多个 signature

5) 最容易踩坑的点(你一定会遇到)

坑 1:Active 权限没包含“调用合约”

Active Permission 需要允许 ContractType.TriggerSmartContract(或者工具里叫 “Contract” 权限)。
否则你会发现:TRX 能转,USDT 转不了。

坑 2:把 Owner 设成多签后,自己改不回来了

这是好事也是风险:一旦签名人丢了 key,就可能永远改不了权限。
所以建议:

  • Owner 用 2/3 或 3/5 这种可恢复结构

  • 至少有“应急恢复人”(放保险柜/硬件钱包/不同城市)

坑 3:能量不足导致失败或烧 TRX 太多

USDT 转账是合约调用,能量消耗高。
建议资金地址 M 冻 TRX 或准备能量租用,且留足 TRX 兜底。

坑 4:多签签名顺序与重复签名

签名可以任意顺序叠加,但同一个私钥重复签没用。
签名数量按不同地址累计权重。

6) 运维/安全建议(实战级)

 

  • Owner 多签阈值 > Active 阈值:防止日常签名人被钓鱼后直接改权限把钱搬走

  • 签名人分离:至少 2 个签名人不在同一台设备/同一网络环境

  • 离线签名:发起端生成交易,签名人离线签 raw_data 后回传 signatures

  • 白名单收款地址(业务侧):后台只允许往白名单地址转(防运营误操作)

  • 小额测试:改权限后先转 1 USDT 测通路